12 декабря произошел серьезный сбой в работе мобильного оператора Киевстар. Абоненты по всей стране сообщали об отсутствии сети и невозможности совершения звонков. Официальный сайт компании также оказался недоступным. Как заявили в компании, причиной стала массированная хакерская атака, и на восстановление услуг понадобится некоторое время.
В интервью Главреду эксперт по кибербезопасности Константин Корсун рассказал о последствиях атаки, ее сходстве с атакой вирусом NotPetya и может ли к ней иметь отношение Россия.
В Киевстаре заявили о том, что на компанию была совершена хакерская атака. Как вы думаете, кто мог эту атаку спровоцировать, и насколько быстро удастся решить этот вопрос?
У меня почти нет сомнений, что единственный бенефициар этой атаки – это враг, с которым у нас идет война. Именно ему могут быть выгодны такие разрушительные последствия. Судя по всему, атака очень серьезная, максимального уровня угроз. Подготовка к таким атакам может длиться несколько месяцев. Киевстар, насколько мне известно, долго готовился к чему-то подобному - там мощная команда, и они очень серьезно относятся к вопросам кибербезопасности. Возможно, эту ситуацию попытаются решить быстро - поднимут бэкапы, восстановят инфраструктуру, и хотя бы в каком-то ограниченном варианте запустят “голос” без трафика. Мы пока не знаем подробностей атаки и возможного времени восстановления, но не исключено, что это может занять несколько дней.
Какова была цель этой атаки - на что именно она была направлена?
В большинстве случаев подобного рода атаки - это так называемые state sponsored attack, то есть те, за которыми стоят не коммерческие, а государственные хакеры, работающие за государственные средства. Цель этих атак - не экономические цели, а социально-политические. Это дезорганизация, подобная той, что была во время атаки вирусом NotPetya в 2017 году. Сейчас и цели примерно те же - нанести максимальный урон всему, что могут. Эта атака на Киевстар повлияла на работу банков, терминалов, не говоря уже об обычных абонентах, которые лишены доступа к мобильному интернету и связи (как, например, службы такси, где в отсутствие одного оператора абоненты перекинулись на другого и тем самым его перегрузили). То есть целью был весь возможный вред – экономический, финансовый, социальный, политический. Здесь нет тех мотивов, которые обычно пытаются нанести киберпреступники.
Вы сказали, что на устранение последствий атаки может потребоваться несколько дней. Насколько серьезный ущерб за это время могут нанести хакеры, и влияет ли эта ситуация на военную составляющую?
По моей скромной оценке, военных это коснулось меньше всего. Поскольку военной обычной мобильной связью на передовой вообще запрещено пользоваться из-за огромных рисков прилетов по местам скопления терминалов. Там используют Старлинки, обычный проводной интернет от традиционных интернет-сервис провайдеров. Соответственно, военная инфраструктура минимально зависима от мобильного трафика как такового. В некотором смысле это может повлиять, но не критично.
Когда вы говорили об этой атаке, вы привели пример 2017 года с вирусом NotPetya. Насколько часто в целом у нас возможно проведение таких атак?
Это единичные случаи, ведь это очень затратные операции, которые долго готовятся. У россиян нет ресурсов, чтобы ставить подобные операции на поток. Я опасался, что подобные атаки произойдут как раз вот накануне или во время широкомасштабного вторжения 24 февраля 2022 года для внесения дополнительной дезорганизации.
Еще за полгода до вторжения я предупреждал, что ключевые телеком-операторы, мобильные операторы, интернет-сервис провайдеры будут первоочередными целями. Но такого не произошло. Мне сложно составлять почему - об этом можно будет узнать разве что после ареста генералов ФСБ или ГРУ, которые будут рассказывать о причинах на допросах.
Такие сложные операции требуют очень высокой квалификации, большого количества людей, задействованных в подготовке и большого промежутка времени. Поэтому если атака проведена против одного мобильного оператора, то этот оператор уже мог поделились со своими коллегами, и эта атака не сможет быть применена против других мобильных операторов в течение ближайшего времени. Потому что иначе такую атаку провели в отношении всех операторов сразу, если бы у россиян была бы такая возможность.
Кроме операторов связи, имеет ли Россия приоритетные цели, которые она будет пытаться атаковать?
Россияне и так постоянно проводят меньшие атаки, просто информация о них не попадает в публичное пространство – об этом не сообщают ни сами пострадавшие, ни государственные органы. Если этого не делают, соответственно, такова их эффективность. У россиян над этими атаками работают специальные команды, 16 и 18 центры ФСБ, есть мощные группы в ГРУ РФ, о которых знают наши спецслужбы.
Что касается возможных объектов для удара, то их очень много - политическое, военное руководство, различные объекты критической инфраструктуры, ключевые государственные органы и тому подобное. Например, сайт СБУ россияне атакуют с 2014 года ежедневно по несколько раз. Так же, как сайты президента и Верховной Рады. В тепловой генерации подобные технологии минимально задействованы, поэтому в большинстве случаев физически невозможно кибератакой остановить электростанцию или тепловую станцию. Кто будет следующей жертвой атаки доподлинно сказать невозможно - это могут быть финансовые институты, транспортные компании, энергетические учреждения и тому подобное.
Но эти атаки не могут полностью парализовать страну. Русские пытались делать такие парализующие атаки в начале вторжения. Им этого не удалось – система доступа в интернет в Украине не регулируется государством, что придает этой системе большой мощности и устойчивости за счет децентрализации. Тем более, что мобильные операторы готовились к подобным сценариям заранее, и вложили много средств и человеческого ресурса на это.
Ведь любую систему, даже самую мощную, можно “хакнуть” – это было с Пентагоном, огромными авиакомпаниями, американскими банками. Вопрос только во времени и ресурсах, которые на это потратят. В России в этом плане ресурсы ограничены, поэтому вряд ли что-то подобное произойдет в ближайшее время.
Константин Корсун - известный в Украине эксперт по кибербезопасности. В 1993-м окончил Харьковское высшее военное авиационное инженерное училище и начал службу в СБУ. В 1996-м окончил Национальную академию СБУ. В 2000-м участвовал в создании первого подразделения противодействия компьютерной преступности в СБУ. С 2005-го по 2009-й служил в департаменте безопасности информационно-телекоммуникационных систем Госспецсвязи, создавал CERT-UA и занимался его международной сертификацией. С 2009-го по 2014-й был руководителем украинского офиса компании iSIGHT Partners Europe.